APK 설치도 이제 끝? 안드로이드 '개발자 확인'으로 무엇이 바뀔까?

안녕하세요, Alternative입니다.

한국 시각 8월 26일 새벽, 안드로이드 운영체제 개발 팀으로부터 새로운 소식이 나왔습니다.

Developer verification (개발자 확인)이라는 기능이 안드로이드와 앱에 추가된다는 것이었는데요.

이 소식을 듣고 보안 때문에 안드로이드 앱 설치가 제한된다는 말부터 APK 파일로 앱을 설치하지 못하게 된다는 소문까지, 여러 가지 이야기가 돌고 있습니다.

이 글에서는 안드로이드 개발 팀 블로그에 개재된 Developer verification의 원문을 살펴보고, 어떤 의미인지 어떤 영향을 미칠지에 대해 알아보도록 하겠습니다.

 

---

 

제가 항상 강조하는 것 중 하나가 원문을 보고 직접 소식을 접하는 습관을 가져야 한다는 것입니다. 특히 요즘 시대에는 더더욱 원본, 원문이 중요합니다.

아래 링크가 오늘 살펴볼 글의 원문입니다. 

https://android-developers.googleblog.com/2025/08/elevating-android-security.html?

 

일단 글의 첫 문장부터 '열려 있음과 보안 중에서 하나만 고를 필요는 없다'라고 못박고 시작합니다. 해당 정책에 대한 백래쉬(반동)가 예상되어서인지 진심인지는 알 수 없지만, 안드로이드의 열린 생태계를 무시하지는 않는/못한다는 걸 확실히 하고 있습니다.

 

핵심인 'Developer verification(개발자 확인)'에 대한 부분입니다.

인증된 안드로이드 기기(= 구글 플레이가 탑재되는 안드로이드 기기)에서 유저들이 어떤 앱을 설치하기 위해서는 '확인(Verified)'된 개발자가 해당 앱을 등록해야 된다고 합니다.

안드로이드 팀은 이걸 공항에서 여권 확인에 비유합니다. 짐의 내용은 확인하고 않고, 짐을 가진 사람을 확인함으로서 안전을 지킨다는 것이죠.

이 방식을 통해 안드로이드 팀이 위험 앱을 셧다운시키면, 그 앱을 만든 공격자가 바로 다른 위험 앱을 배포하기가 매우 어려워지죠. 해당 앱을 등록한 개발자 계정을 바로 정지시키면 추가로 앱을 등록/배포할 수 없으니, 추가 피해를 빠르게 막을 수 있다는 요지입니다.

비유하자면, 중고거래하다가 사기인 걸 알고 더치트에 바로 신고하면 계좌번호와 전화번호가 바로 공개되어서 사기꾼이 추가적인 사기를 치기 어렵게 만드는 것과 같달까요.

 

이 변경점들은 앱 스캠이 잦은 일부 국가(브라질, 인도네시아, 싱가포르, 태국)에서 2026년 9월부터 적용될 것이며, 2027년부터 점차 전세계 공통으로 롤아웃될 것이라고 합니다.

 

이 방식을 적용하기 위해 구글 플레이가 아닌 곳에서 앱을 배포하는 개발자를 위한 새로운 '안드로이드 개발자 콘솔'을 준비하고 있다고 합니다.

기존에 구글 플레이 콘솔을 통해 개발자임을 등록하고 구글 플레이에 앱을 등록해 배포하던 개발자의 경우, 큰 변화 없이 기존의 구글 플레이 콘솔과 개발자 계정을 통해 인증이 된다고 합니다.

또한 학생과 취미 개발자들은 필요가 다른 걸 알기 때문에, 별도 형태의 안드로이드 개발자 콘솔 계정을 만들고 있다고 합니다.

 

아래 링크로 들어가면 이 새로운 안드로이드 개발자 콘솔을 어떻게 사용하는지에 대해 프리뷰 문서를 볼 수 있습니다.

https://goo.gle/android-developer-console-intro

 

내용을 보면

개인이든 단체든 국가에서 발급하는 신원 관련 문서가 필요합니다. 신분증까지 요구하니 확실히 가라로 하긴 힘들겠네요. 악의를 가진 공격자가 계정을 수없이 만들어 앱을 배포하는 것을 차단하기 위한 조치로 보입니다. 그러나 신분증을 제출하는 것이니만큼 반발이 있을 수 있겠습니다.

 

계정 생성을 완료하려면 25달러의 비용을 지불해야 합니다.

단, 앞서 말한 학생과 취미 개발자들은 특별한 형태의 계정을 만들 수 있는데, 인증을 위한 필요 조건이 더 적고 등록 비용이 없다고 합니다.

이 형태의 계정을 만드는 데 어떤 조건이 필요한지, 정식 계정에 비해 어떤 제약이 있는지가 안드로이드 커뮤니티의 앞날에 영향을 줄 것 같습니다.

 

앱을 인증하는 방식은 개발자 계정에 퍼블릭 키 인증서를 등록하고, 각 앱의 패키지명과 프라이빗 키를 등록하는 방식으로 이루어집니다.

그러면 안드로이드 기기에서 apk를 설치할 때마다 인터넷에 접속해 해당 개발자가 등록되어 있는지, 해당 apk의 패키지명이 개발자와 연결되어 있는지를 확인하는 방식으로 보입니다.

앱 설치에 최소한 인터넷 연결이 필요하겠네요. 과연 우회가 가능할지, 우회 시 문제는 무엇일까가 궁금해집니다.

 

마지막으로 안드로이드 팀은 '개발자들이 어떤 방법으로든 유저들에게 앱을 배포할 자유를 유지할 것'이라고 강조합니다.

좋은 말이지만, 반대로 '유저들이 어떤 방식으로든 앱을 설치할 자유'를 유지한다고는 하지 않았음을 생각해야 합니다.

APK를 통한 앱 설치에 어떤 식으로든 제약이 생겨날 테고, 불편해질 것 같습니다.

 

---

 

호비스트, 애호가인 말단 유저들은 학생/취미용 무료 개발자 계정이 어떻게 나오는지, 어떤 조건을 갖춰야 하는지, 상용 개발자 계정에 비해 어떤 제약을 가지는지가 가장 관건이겠습니다. 개발자 등록이 되지 않은 APK를 설치하기 위해서는 개인의 개발자 계정으로 서명(Sign)해 설치해야 할 텐데, 마치 애플의 무료 개발자 계정처럼 3개의 앱, 10개의 익스텐션, 7일의 활성화 기간 등 까다로운 조건이 있다면 자유로운 사용이 다소 어려워질 것으로 보입니다.

기존에 구글 플레이에만 앱을 등록하던 개발자의 경우 크게 신경쓸 것이 없어 보입니다. 2027년에 전 세계에 이 기능이 롤아웃된다면, 구글 플레이 개발자 콘솔에서 추가 서류를 요구할 때 제출하면 되겠습니다.

구글 플레이 이외의 마켓(원스토어, 갤럭시 스토어)이나 직접 APK 배포 등을 통해 앱을 배포하는 개발자의 경우, 이제 개인 정보와 25달러의 등록비를 내고 새로운 안드로이드 개발자 콘솔에 가입해야 할 것입니다. 이 링크를 통해 얼리 액세스에 신청할 수 있다고 합니다.

 

다시 한 번 원문의 중요성을 강조하며 짧은 분석글을 마무리하겠습니다. 감사합니다.